組策略跨林跨域遷移

一般狀況下咱們見過用戶，計算機，共享的跨林跨域遷移，那麼組策略是否也支持遷移呢，答案是能夠的，本文咱們將詳細探討組策略遷移的場景與實踐

組策略遷移可能的場景

1. 測試環境到生產環境，企業針對於生產環境和測試環境分別部署了兩套不一樣林環境的AD域，爲了確保安全，並無在兩個域之間創建信任，如今須要將測試環境已經測試成功的組策略應用到生產環境，或反向。

2. 父子域架構，企業新部署了一個子域，因爲組策略是域級別的數據，所以子域不會獲得父域的組策略，可是子域沒有專業的IT人員，但願可以複用總部的組策略設置

3. 成熟的組策略，林內樹間的遷移複用，林信任的遷移複用，跨林不信任的遷移複用

組策略遷移須要在GPMC組策略管理工具中完成，對於組策略遷移有兩個可選方法

1. 組策略複製：適用於林內樹間，父子域之間，林信任的組策略遷移，不支持遷移到沒有信任的域，遷移時須要來源目標域控制器在線聯機，在複製操做期間建立的新GPO將得到一個新的全局惟一標識符（GUID）並取消連接，對於組策略對象的權限設置能夠保留

2. 組策略備份：適用於林內樹間，父子域之間，林信任，無信任環境的組策略遷移，備分內容包括GPO(GUID），GPO設置，GPO上的自主訪問控制列表（DACL）,WMI過濾器連接（若是有），但不是過濾器自己,指向IP安全策略的連接（若是有），GPO設置的XML報告，能夠在GPMC中以HTML格式查看，備份時的日期和時間戳，用戶提供的備份說明，備份會生成備份文件，需拷貝至目標域控導入。

 

組策略遷移關鍵概念-遷移表

 

在執行組策略跨林遷移時咱們會碰見一個問題，組策略裏面可能設置了當前域用戶或組的安全主體，設置了當前域內的共享路徑映射，可是到了目標域裏面沒有這些用戶和共享路徑，若是不使用遷移表，遷移以後咱們須要手動一個一個去改，而遷移表能夠幫助咱們在執行導入前，完成映射，例如測試域組策略裏面全部測試安全組替換爲生產安全組，全部測試環境組策略共享路徑替換爲生產環境路徑，確保遷移過去組策略直接生效，在小環境中可能體現不出多大價值，可是若是組策略裏面存在不少安全設置和共享設置，遷移表在遷移的時候就能夠幫咱們省很多事。

 

組策略複製，直接在嚮導中完成步驟，不須要將組策略導出到文件系統，組策略備份會由組策略導入步驟相對應，咱們會在新的環境裏面導入組策略備份文件，包括全部備份的內容，不管是複製過程或是導入過程，都支持選擇遷移表，以便在遷移過程自動幫咱們完成，用戶/組/計算機等安全主體以及共享路徑，在新環境裏面不一樣名稱的映射。

 

實驗環境介紹

 

當前環境有一套測試域oa.com，一套生產域zq.com，兩個域沒有信任關係，是獨立的兩個森林，現須要將組策略導入到生產環境，並在過程當中完成不一樣安全對象的映射，當前測試環境使用OU DEP，裏面有三個用戶，一個組，Jason和Mike加入VIP組，建立組策略dev，設置測試環境共享路徑，設置安全策略

 

 

 

跨林組策略遷移流程

 

1. 編寫遷移表映射

2. 備份源組策略

3. 複製組策略備份文件及遷移表至目標域

4. 目標域目標OU建立空白組策略

5. 導入組策略備份文件，遷移表

 

OK，接下來就是看看遷移表的時候了，這是個老古董了，沒記錯應該是2003時代的產物，支持GUI界面遷移表編輯器，也支持CMD管理，打開GPMC-組策略對象-打開遷移表編輯器

能夠在備份完成組策略再編輯遷移表，也能夠先編輯好遷移表，最終遷移表文件+組策略備份需一塊兒在目標域環境導入，遷移表編輯器有一個很實用的功能，打開工具下拉菜單，可見從GPO填充

在GPO填充界面，咱們選擇須要遷移的組策略，遷移表會幫咱們自動去掃描該組策略裏面涉及到的域內特有的用戶/組/計算機等安全主體設置，不然咱們需本身一個個填寫，若是勾選上下方的，掃描過程當中，包括來自GPO上DACL的安全主體，則咱們對於組策略對象的安全設置也會被掃描出來

掃描完成後，咱們將本域的安全主體，映射爲目標域的安全主體，以確保遷移以後能夠正常使用，對不正確的源類型進行修改，對於組策略中未掃描到的共享路徑或安全主體進行補充

確認全部要在生產環境映射的信息修改完成後，點擊文件，另存爲，保存遷移表文件

點擊組策略對象，選擇dev，右鍵點擊備份

備份完成後複製備份文件及遷移表文件至目標域控

來到生產域OU，建立一個新GPO

在組策略對象容器選擇新建的組策略，右鍵點擊導入設置，選擇複製過來的組策略備份文件目錄

點擊下一步，導入嚮導檢測到組策略裏面存在對於源域安全對象和共享路徑引用，詢問對於引用如何處理，能夠選擇從源徹底複製，因爲咱們是跨林沒有信任，所以源引用確定是無效的，因此咱們選擇使用遷移表映射，選擇遷移表文件

下面有個獨佔選項，該選項主要是爲了防止誤導入，將錯誤的遷移表映射給組策略，這裏咱們確認是正確的遷移表，因此不用勾選。

點擊下一步開始執行導入，這裏爲何選擇導入，而不是備份相對應的還原，由於組策略的還原功能沒法識別其它機器的備份文件，僅支持還本來服務器的備份

導入完成打開組策略驗證，全部安全對象引用，以及文件共享路徑，都已經跨林映射過來

 

實驗2.當前林根域oa.com，兼併公司gate.com域樹，兩個域創建域樹信任，被兼併的公司但願可以直接複用總部的組策略設置，當前林根域環境使用OU DEP，裏面有三個用戶，一個組，Jason和Mike加入VIP組，建立組策略OPS，設置測試環境共享路徑腳本執行，設置組策略對象安全列表

 

 跨域遷移組策略流程

 

1. 編寫遷移表

2. 在源組策略管理器添加顯示目標信任域(來源目標必須在線)

3. 複製所選組策略

4. 在目標信任域組策略對象容器下點擊粘貼

5. 觸發跨域複製嚮導，選擇權限複製模型，映射遷移表

6. 手動連接複製過來的GPO至目標OU

    

參照跨林遷移步驟設置遷移表

 

在源域組策略管理器中，點擊域，右鍵選擇顯示域，勾選顯示目標信任域

因爲此次是存在信任的域關係，咱們直接在源域中，右鍵點擊組策略對象，選擇複製

 

切換到目標信任域組策略對象，右鍵點擊粘貼

必定要在這裏粘貼，才能喚醒跨域複製組策略嚮導！

這一步很是重要，大多數網上博客都不會提到這一點，若是勾選新GPO使用默認權限，那麼源域組策略對象的安全權限，將不會被遷移到目標域，GPO複製到新域將使用全新安全權限，即使是遷移表掃描出來，配置了映射，也不會生效，若是但願將源GPO安全設定，原樣複製給目標信任域，或但願將源域GPO安全設定裏面的安全主體使用遷移表映射給目標信任域，則這裏必須勾選下面選項纔會生效。通過老王的實際測試，遷移映射組策略安全權限設定，僅在林內域間信任環境生效，遷移表能夠把安全主體映射到組策略對象權限列表，跨林或不信任域，組策略對象權限列表映射均失效，需手動從新設置。

點擊下一步，跨域複製組策略嚮導，檢測到源組策略存在安全主體與共享路徑

詢問要原樣複製，或是使用遷移表完成映射，選擇配置好的遷移表文件，能夠直接在源主機完成此操做，並使用源主機本地遷移表文件

點擊下一步完成開始複製

複製成功後可見組策略安全權限列表，組策略內容設置所有完成映射

 

確認無誤後手動將組策略對象連接到目標OU，由於咱們複製是直接複製到組策略對象，並不是複製到OU，這是與導入的區別

 

提示：不管是使用複製或是導入，均不支持WMI篩選器的遷移，若是須要大量WMI篩選器的遷移，或但願使用Powershell處理組策略遷移，請參考博客

WMI篩選器遷移腳本

 

下一步博客計劃：自從2017年寫WSFC博客來，老王認識了不少朋友，被不少朋友承認，倍感榮幸，傳達的技術幫助博友們解決實際問題，倍感高興，下一步老王WSFC博客還會繼續寫，可是目前基本上能寫的WSFC博客都寫了，一旦碰見好課題必定第一時間分享給你們，同時2019即將發佈，若是看到一些我以爲實用新穎的好技術，會寫博客出來與你們分享，對於看到的老的企業級技術，但國內少有人說起的我也會寫。基本上主要就集中在這三塊內容，若是WSFC系列長時間沒有找到課題，老王可能年末或者明年準備一下會開啓一個新的系列博客，目前計劃是MDOP或者SCO+SCSM+SCOM深刻應用，不論是選擇那個老王都會保持WSFC系列的水準。